OLVG-ziekenhuis Amsterdam krijgt AVG-boete van 440.000 euro voor slechte logging

De Autoriteit Persoonsgegevens heeft een boete van 440.000 euro gegeven aan het Amsterdamse OLVG-ziekenhuis. Het ziekenhuis overtrad de privacywet door niet goed te loggen wie toegang had tot medische systemen.

De privacytoezichthouder startte een onderzoek na een tip van een burger en na twee meldingen vanuit het OLVG-ziekenhuis. De AP schrijft dat in een bericht. Het ziekenhuis bleek de controle op de toegang van medische dossiers niet goed op orde te hebben. Dat bleek ook in 2019. Toen kwam het ziekenhuis in de media toen bleek dat werkstudenten met tijdelijke contracten in patiëntendossiers hadden gekeken. Daar schreef het ziekenhuis zelf al over. Er werden toen wel maatregelen genomen, maar die hadden vooral betrekking op het werk van de tijdelijke werknemers.

De AP concludeert nu dat ook andere zaken niet op orde waren. Het ziekenhuis hield bijvoorbeeld wel geautomatiseerde logs bij waarin stond welke werknemers op welk moment een medisch patiëntendossier bekeken, maar die logs werden niet vaak genoeg gecontroleerd. Dat is in strijd met de privacywet. Dat is dezelfde overtreding waar bij het HagaZiekenhuis sprake van was. Dat ziekenhuis kreeg in 2019 de eerste Nederlandse AVG-boete. Onder de AVG moet er bij de toegang tot medische dossiers gelogd worden en moeten die logs ook regelmatig gecontroleerd worden.

Een andere overtreding was het gebrek aan tweestapsverificatie. Vanaf het interne netwerk vanuit het ziekenhuis hoefden werknemers geen 2fa te gebruiken om een patiëntendossier te bekijken. Met externe toegang was dat wel verplicht, maar desondanks was dat volgens de AP een overtreding van de wet.

Het ziekenhuis had de toegang in ieder geval 'tussen 2018 en 2020' niet op orde. In 2018 begon de handhaving van de AVG. De boete van 440.000 euro is dan ook voor een overtreding van die Europese privacywet. "Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling", zegt vicevoorzitter Monique Verdier van de AP. "Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig."

Inmiddels zou het ziekenhuis de maatregelen hebben aangescherpt. De logs worden nu wel structureel gecontroleerd en er is tweestapsverificatie toegevoegd. Ondanks dat legde de AP direct een geldboete op en geen last onder dwangsom. De toezichthouder kiest regelmatig voor dat laatste, als een soort voorwaardelijke boete die wordt geïnd als de maatregelen niet worden doorgevoerd.

Daar is het ziekenhuis zelf ook niet blij mee. "We zijn teleurgesteld dat we niet de kans hebben gekregen om eerst de geconstateerde tekortkomingen op te lossen, alvorens een boete opgelegd te krijgen", schrijft het ziekenhuis in een reactie. "Daarnaast vinden we de boete voor een maatschappelijke instelling zoals ons ziekenhuis wel erg hoog." Het ziekenhuis zegt desondanks dat het niet in beroep gaat tegen de boete.

IT-banen

Reacties (127)

Pastinakel 11 februari 2021 20:45

Iedere keer dat je te maken krijgt met NEN7510, AVG en verwante verandertrajecten, blijkt dat deze regels verzonnen zijn achter een bureau. Zorg is geen bureauwerk. Heel veel zorgverleners werken vanuit een ideologische instelling de best mogelijke zorg te willen leveren. Dat is enerzijds evidence based medicine en value based healthcare. Daar heb je gestructureerde informatie uit zorginformatiesystemen (inclusief af en toe papier) voor nodig.

Maar daarnaast willen we narrative medicine leveren: zorg vanuit verhalen, omgaan met ziekte, invloed van compassie, respect en zorgzaamheid. En dat doe je niet van achter je beeldscherm.

Tijdens ieder contactmoment wissel je meerdere keren tussen werk achter het scherm en werk "aan het bed". Het is praktisch niet uitvoerbaar om iedere keer door middel van 2FA terug te gaan naar de verslaglegging van je zorgproces.

Je zult heel weinig zorgverleners vinden die niet intrinsiek gemotiveerd zijn om de schouders te zetten onder informatie beveiliging en privacybescherming. Maar je zult nog minder mensen vinden die het een goed idee vinden om 2FA zo toe te passen zoals de NEN7510 letterlijk voorschrijft. Je totale toetsenbord invoer per dag wordt dan wel heel erg bepaald door je complexe wachtwoord. Andere factoren voor authenticatie zijn ook mogelijk maar ik zie ze nog niet toegepast.

Er is een hele simpele oplossing voor de door de AP geconstateerde problematiek: geen patiënten meer behandelen. We kunnen ook alle postoperatieve wondinfecties voorkomen door niet meer te opereren. Dat is een absurde oplossing. Het doel moet dan ook zijn om zo veel mogelijk gezondheidswinst te behalen met zo min mogelijk complicaties, inclusief wondinfecties en datalekken.

Digitalisering van de zorg heeft tot nu toe heel beperkte impact gehad op de resultaten. Alleen op het gebied van elektronisch voorschrijven van medicatie en beslissingsondersteuning bij orderinvoer, is jaren geleden enige invloed meetbaar geweest op de kwaliteit. Voor de rest is de hele digitalisering van de zorg voornamelijk registratiedruk verhogend geweest. Dat besef lijkt ook niet doorgedrongen bij de AP. Het voelt voor veel mensen als onrechtvaardig om op basis van niet gerealiseerde beloften de digitalisering in getrokken te zijn en vervolgens door de AP afgerekend te worden op een verkeerd gebruik van digitale middelen.

TheGhostInc @Pastinakel • 12 februari 2021 13:43

Andere factoren voor authenticatie zijn ook mogelijk maar ik zie ze nog niet toegepast.

Dus is het misschien tijd om daar eens wat mee te doen?

Er is een enorm scala aan manieren om dit op te lossen en het is ook niet zo dat iedereen altijd dezelfde variant hoeft. Gezichtsherkenning, stemherkenning, vingerafdrukken & irisscans zijn allemaal productie klaar. Heeft iemand veel problemen met het biometrische aspect, dan kun je denken aan RFID druppels, pasjes, horloges of zelfs een onderhuids implantaat. En qua wachtwoorden is er natuurlijk ook de ruimte om zowel een korte variant te hebben (PIN) als een lange. En een telefoon en (toegangs)pas heeft ook iedereen.

Gewoon aan elke 'factor' een waarde hangen en afhankelijk van de context kun je daar prima mee gaan rekenen. Dat een vingerafdruk genoeg is om verder te gaan met de vastlegging waar iemand al mee bezig was op die computer. Maar wil je nieuwe dossiers openen die je nog nooit hebt opgevraagd, is dat het moment om even het volledige wachtwoord te vragen. Heb je altijd handschoenen aan op die locatie, dan is gezichtsherkenning misschien iets praktischer.

Maar er is in een ziekenhuis niemand die nadenkt als je tientalen verschillende mesjes nodig hebt voor verschillende procedures. Maar de IT beveiliging... nee, dat kan echt maar op 1 manier.

Jim80 11 februari 2021 09:10

In plaats van een boete van 440.000 EUR zouden ze beter verplichten een expert in te huren om de problemen op te lossen zodat dat bedrag tenminste nog enig nut zou hebben in plaats van te verdwijnen in de bureaucratie.

sluismaster @Jim80 • 11 februari 2021 09:15

Gevoelsmatig heb je misschien gelijk. Maar ik denk dat dit in de praktijk een averechts effect heeft.

Wanneer de aanname van bedrijven en (semi-)overheidsinstellingen kan zijn: "We doen niks want als we gesnapt worden, wordt de boete gebruikt om het probleem op te lossen". Dan zorgt dit ervoor dat je dus net zo goed kan wachten met oplossen, tot je gedwongen wordt door de AP.

AVG naleven blijft een ondergeschoven kind bij heel veel instellingen, omdat er niks mee te verdienen is, maar vaak wel grote investeringen vraagt. De enige manier om dit te kenteren, is door grote geldboetes uit te schrijven en daarmee organisaties en branchegenoten wakker te schudden.

Nas T @sluismaster • 11 februari 2021 09:50

Ik denk dat ze nu naast de boete ook (min of meer) verplicht zijn om ervoor te zorgen dat dit opgelost wordt (en blijft). Anders zou dat betekenen dat ze nu een boete krijgen en volgend jaar weer, omdat ze nog steeds niet voldoen aan de AVG.

Arnoud Engelfriet @Nas T • 11 februari 2021 10:08

Heb net het https://www.autoriteitper...les/boetebesluit_olvg.pdf boetebesluit doorgenomen maar er staat echt alleen een boete in. Ik denk dat de gedachte is dat de volgende boete dan 10x zo hoog mag zijn, en dat de FG van het ziekenhuis dat ook wel weet.

webhalla @Arnoud Engelfriet • 11 februari 2021 12:40

Beste Arnoud,

op pag 7 alinea 2 van het boetebesluit https://www.autoriteitper...les/boetebesluit_olvg.pdf lees ik toch:

OLVG heeft op 9 maart 2020 aan elke computer(-terminal) een reader gekoppeld en daarmee de
bovenstaande werkwijze veranderd. Hierdoor moet een medewerker zijn/haar personeelspas voor deze
reader houden en vervolgens een wachtwoord invoeren voordat toegang tot de computer kan worden
verkregen

Lijkt er dus op dat er maatregelen zijn getroffen, maar dat ze beboet worden voor de periode voor deze wijziging.

OxWax @Arnoud Engelfriet • 11 februari 2021 10:21

Volgens mij is de boete gebaseerd op de winst, nl. 10 % er van .
https://www.olvg.nl/sites...verantwoording_2019_0.pdf

faim @OxWax • 11 februari 2021 11:39

Ziekenhuizen maken over het algemeen niet zoveel winst.

Torgo

@faim • 11 februari 2021 12:55

Heb je de link bekeken van @OxWax , daar staan de jaar resultaten in. 4.4M winst over 2019 na aftrek van belastingen, dus het statement van @OxWax is correct.

faim @Torgo • 11 februari 2021 13:03

Nou heeft dit ziekenhuis toevallig 4,5 mln winst gemaakt (wat ik overigens behoorlijk vind voor een zkh), maar in het geval dat dit 100k was stelt die 10% AVG-boete natuurlijk niks voor...

OxWax @faim • 11 februari 2021 15:42

Jaar er voor 'maar' 1,1 miljoen dus x4 op één jaar....

arjankoole @faim • 11 februari 2021 19:50

Nou heeft dit ziekenhuis toevallig 4,5 mln winst gemaakt (wat ik overigens behoorlijk vind voor een zkh), maar in het geval dat dit 100k was stelt die 10% AVG-boete natuurlijk niks voor...

4,5 miljoen is voor een bedrijf echt niet veel. Ook niet voor een ziekenhuis. Dat geld moeten ze ook nieuwe investeringen uit doen, en die zijn in die wereld niet gering. Als ik kijk wat de verbouwing van het ziekenhuis van de vorige woonplaats was… dat was stevig. (Groot opleidings ziekenhuis, alle faciliteiten). De eisen voor zowel gebouwen, als alles in die gebouwen zijn pittig. 4,5 miljoen netto winst is mager in mijn optiek. Je wilt echt wel wat vet op de botten kweken.

HenkEisDS @arjankoole • 11 februari 2021 22:08

Nee, investeringen gaan van de omzet af en hebben impact op de winst. Daarom rekenen bedrijven met EBITDA omdat winst niets zegt. Geld voor verbouwing kan geleend worden, of waarschijnlijker gedragen worden door de JLLs en CBREs, en de afbetalingen of huur gaan ook weer van de omzet. Tenzij ze ineens winst dreigen te maken, dan betalen ze het zelf uit eigen middelen. Want vennootschapsbelasting.

Edit: scherp @faim !

[Reactie gewijzigd door HenkEisDS op 22 juli 2024 21:54]

faim @HenkEisDS • 11 februari 2021 23:49

Nou is het alleen wel zo dat ziekenhuizen over het algemeen geen vpb betalen, want stichting en/of zorgvrijstelling.

faim @arjankoole • 11 februari 2021 23:55

4,5 miljoen is voor een bedrijf echt niet veel

4,5 mln winst voor een bedrijf is niet veel? Hmm, er zijn jaren bij dat ik die niet haal hoor.

caspar M @sluismaster • 11 februari 2021 09:48

Ik denk dat er vanuit de AVG een volgende stap moet worden gemaakt. De betreffende boete neerleggen bij de bestuurders / verantwoordelijke managers.

Dit soort problemen zijn namelijk keuzes die gemaakt worden door het management / bestuur. Zij maken de keuzes om deze problemen als ondergeschikt te beschouwen. Of willen geen middelen beschikbaar maken om ze op te lossen.

Door de boete nu als voorwaardelijk te heffen richting de organisatie bereik je meerdere dingen die je niet wil:
Het loont in de praktijk om niets te doen. Je bent niet persoonlijk verantwoordelijk.
De pakkans is bijna nihil
Indien je wel in het vizier komt, krijg je daarna alsnog de tijd om het te fixen.

Het enige wat als vervelend wordt ervaren is de negatieve publiciteit. Maar dat buigen de bestuurders ook wel af. Ik heb te doen met de werknemers die naast alle dagelijkse taken, nu alsnog al dit extra werk z.s.m. moeten doen, met de druk erachter dat het gisteren al klaar had moeten zijn.

[Reactie gewijzigd door caspar M op 22 juli 2024 21:54]

PageFault @caspar M • 11 februari 2021 10:25

Het is denk ik toch iets lastiger dan jij omschrijft. Heel veel EPD systemen zijn zo spartaans, dat ze er niet eens in voorzien. De meeste systemen nemen je echt mee terug naar begin jaren 80. Geen argument om dit allemaal goed te keuren, maar dat is wel wat ziekenhuizen en zorginstellingen hebben draaien. Ze betalen allemaal de hel voor een draak van een pakket wat niet te beheren is, niet te gebruiken is, wat qua interface aan de oude AS400 doet denken, wat niet te controleren is, waar niet van af te komen is, etc. etc.

caspar M @PageFault • 11 februari 2021 10:36

In dit geval gebruiken ze Epic bij het OLVG. Dus ze kunnen prima security instellen. Alsmede de " break the glass" functiontaliteit, zodat mensen specifiek moeten aangeven waarom ze in een dossier moeten.
Daarnaast worden alle actie's gelogd in EPIC (maar kan het een uitdaging zijn om deze logging te controleren...dit gebeurt dan vaak achteraf, door een commissie worden dan vragen gesteld aan gebruikers waarom bepaalde handelingen door de gebruiker zijn uitgevoerd)

Dan heb je uiteraard ook allerlei extra beveiliging die los van een EPD kan worden ingesteld door de IT afdeling mvbt het mogen aanmelden op werkstations.

ollie1965 @caspar M • 11 februari 2021 11:43

En dan maar hopen dat de PO en FG hun checks uitvoeren
Een voorbeeld van een ziekenhuis waar de noodknop niet aan checks onderhevig was
https://www.security.nl/p...datalek+Bravis+Ziekenhuis

Crahsystor @caspar M • 11 februari 2021 10:07

Precies. Zolang het alleen een kwestie is van (wat) winstverlies is er nog geen reden om vanaf het begin de eisen van de AVG mee te nemen in het keuzeproces. Lage pakkans, relatief lichte schade.
Op het moment dat je kennelijk zo'n risico bent voor de samenleving, als organisatie, dat je tonnen boete krijgt, mag daar ook wel een naam bij komen. De praktijk is lastig natuurlijk, met legacy van systemen. Je kunt moeilijk verwachten van een nieuwe bestuurder (manager, directeur, etc.) dat die eerst alle systemen gaat onderzoeken voor hij begint met andere werkzaamheden.

Het zou mooi zijn als boetes van, zeg twee ton en hoger, automatisch een strafrechtelijk onderzoek zouden starten naar wie die keuzes gemaakt heeft waarom de boetes uiteindelijk nodig waren om uit te delen. Helaas werkt het systeem zo niet.
Wat wel werkt is: "Mea culpa. Waar is m'n bonus?" Net als in de politiek is verantwoordelijkheid aan de top nogal flexibel.

Zynth @caspar M • 11 februari 2021 11:14

Ik denk dat de volgende stap een omdraaiing van de redenering is.

Nu mag alles en iedereen software bouwen die persoonsgegevens verwerkt.
Ik zou willen naar een systeem waar het verwerken van persoonsgegevens een vergunning en controle nodig heeft.

In eerste instantie betekent dat dat "gewone" softwarebouwers een probleem hebben; hun software ontwerp zal moeten worden goedgekeurd (net zoals een bouwtekening door een architect).

Maar heel snel ga je dan bedrijven krijgen die zich specialiseren in persoonsgegevens-frameworks met APIs die de softwarebedrijven in staat stelt veilig te programmeren. Simpele bedrijven kunnen dan die frameworks gebruiken om zelf hun software niet meer te hoeven laten keuren. Immers; de persoonsgegevens worden alleen binnen het framework geprocessed en dat heeft al een certificering.

bzzzt @Zynth • 11 februari 2021 13:11

Daarna blijkt het door alle nodige certificaties voor nieuwe partijen die efficiënter kunnen werken door op een andere manier tegen dingen aan te kijken dan die zo'n framework voorschrijft compleet onmogelijk om ooit nog te concurreren. Effectief geef je de markt dan aan een gevestigd groepje partijen (zoek maar eens op 'regulatory capture' en waarom dat alleen maar tot hogere kosten en niet per se je gewenste uitkomst leidt).

bzzzt @caspar M • 11 februari 2021 13:15

Zou jij voor een ton per jaar een beroep willen waar je aansprakelijk bent voor enkele tonnen boete? Als je ooit nog mensen wil vinden die zo'n positie willen invullen moet je ze schofterig veel betalen voordat ze dat risico willen lopen. Of je trekt alleen maar vage types die al hun bezit snel afschuiven naar een ander en zelf failliet gaan als ze zo'n boete krijgen.
Beide gevallen lijken me niet echt wenselijk.

caspar M @bzzzt • 11 februari 2021 13:28

volgens mij zitten bestuurders op max 130% van de Balkenende norm, zeg maar tussen de 180k en 250k
En een zoektocht op google toont aan dat menig zittende bestuurder nog steeds aan het afbouwen zijn of een uitzondering hebben gekregen toen ze nog op 300k zaten.

Voor dat geld mag je denk ik wel de verantwoording dragen ja... trouwens dat mag je ook met een salaris van 100k. Je krijgt een boete als je niet volgens de wet werkt... om dan vervolgens dat risico van het niet volgen van de wet in te calculeren in je bezoldiging is helemaal van de pot gerukt...

bzzzt @caspar M • 11 februari 2021 13:46

Om te beginnen overtreedt het bedrijf de wet, niet de persoon. De AVG is dan misschien al een paar jaar in werking, maar er zijn nog steeds voldoende grijze gebieden waarover ook de AP zich om het maar zacht te zeggen "nogal cryptisch" uitlaat. (AP weigert bv. in alle toonaarden om voorgestelde implementaties van AVG regels te beoordelen en vindt dat je dat met de regels in de hand zelf maar moet doen). Daarnaast zijn het regels die - zeker in grote organisaties - op zo'n beetje alle bedrijfsprocessen invloed hebben waardoor de kans dat ergens nog een proces is wat niet compliant is niet helemaal uit te sluiten valt. Het zijn geen "rood licht" overtredingen die je 100% aan 1 persoon op 1 tijdstip kan toeschrijven.

Het niet 100% conform de wet ingericht zijn is een probleem van de organisatie, niet dat van een individuele bestuurder (mogelijk iemand die net begonnen is met de beste bedoelingen of net met pensioen - ga je die weer terug de werkvloer op trekken dan?)

Daarnaast is het botweg uitschakelen van systemen helemaal geen optie. Nummer 1 prio is (hopelijk) nog altijd zorg voor de patiënten. De ICT moet dat faciliteren en daar ondergeschikt aan zijn. Succes met verdedigen dat oma helaas overleden is omdat de behandelend arts nog bezig was zijn 2FA codes in te voeren om in haar dossier te kunnen kijken.

Je kan heel boos zijn dat die bestuurders zoveel verdienen, maar zeg nou eens eerlijk: zou je zelf een betere job kunnen doen met dergelijke conflicterende belangen?

HenkEisDS @bzzzt • 11 februari 2021 22:33

Hoeft ook niet van het vaste salaris, daar heb je imho altijd recht op. Maar de bonus kan prima afgepakt worden.

sluismaster @caspar M • 11 februari 2021 10:17

Alleen in hoogst uitzonderlijke gevallen zijn natuurlijke personen achter een rechtsvorm daadwerkelijk persoonlijk aansprakelijk. Ik denk niet dat we op dit moment voor een schending van de AVG daar een uitzondering op moeten maken.

Ik ben het wel met je eens dat de pakkans als organisatie erg laag is. Als is dit denk niet eenvoudig op te lossen.

Brinkiewestland @sluismaster • 11 februari 2021 09:40

Maar aangezien de AP geen capaciteit heeft om niet gemelde incidenten te onderzoeken (zie behandeling in de kamer de afgelopen tijd) is het dus de laatste tijd "verstandiger" geweest om het ook niet zelf te melden. Aangezien de AP dan geen onderzoek instelt en er dan ook geen boete volgt

Oftewel bedrijven die het melden zoals het hoort zijn nu nog in het nadeel t.o.v. de bedrijven die het niet melden. Dat moet echt verbeteren

PcDealer @Brinkiewestland • 11 februari 2021 10:10

Personeel kunnen het ook melden. Dat de buurman met zijn website minder prio krijgt dan een ziekenhuis snap ik wel. Maar ik kan me niet indenken dat zo'n zaak als bij dit ziekenhuis blijft liggen.

F-I-X @Brinkiewestland • 11 februari 2021 13:24

Ze krijgen extra FTe is besloten in de kamer.. van 186 naar 470 ofzo.

PhanToM__ @sluismaster • 11 februari 2021 12:13

Volledig mee akkoord. Maar aan de andere kant vind ik het idee van @Bigjim80 ook wel niet slecht. Echter zou ik daar bv. bij willen toevoegen dat de AVG instantie zelf experts uitleent. Als ze nu plaats van een boete, een expert uitlenen, die verplicht betaalt moet worden door de overtreder, dan heb je tenminste een oplossing en een zekere vorm van inkomst en dan creëer je nog eens extra jobs voor de jongere generatie.

Geen idee of dat allemaal zo simpel is als het lijkt.

sluismaster @PhanToM__ • 11 februari 2021 12:16

Dat is ook een mooi idee, maar dan wel een hybride vorm. Het vooraf oplossen van het probleem, moet altijd goedkoper zijn, dan het oplossen nadat je gepakt bent.

Dus een boete uitschrijven (x% van de omzet) en daarnaast verplicht een externe AVG expert (in dienst van AP) aanstellen voor minimaal één jaar.

OxWax @sluismaster • 11 februari 2021 15:43

De interne GDPR officer dan maar gelijk vervangen?

HenkEisDS @Jim80 • 11 februari 2021 09:38

In plaats van een boete van 440.000 EUR die uiteindelijk door de patienten betaald wordt zouden ze beter elke bestuurder 44.000 EUR van zijn of haar bonus kunnen laten inleveren. Moet je eens opletten hoe snel en hoe urgent het op de strategische agenda komt. Daarnaast heeft de raad van toezicht ook liggen slapen.

batjes @HenkEisDS • 11 februari 2021 17:02

Huh, de mensen die goed betaald krijgen, wat deels is omdat ze een bepaalde verantwoordelijkheid dragen... Aansprakelijk stellen op die verantwoordelijkheid?

Gek idee, maar zou best kunnen werken.

Lodo @Jim80 • 11 februari 2021 09:42

Dit had ik altijd als ze om de hoek bij je school boetes voor fietsen zonder licht stonden uit te schrijven, nu snap ik wel dat het enorm gevaarlijk is om zonder licht te fietsen, maar wat lost een boete op? Deel dan van die fiets lichtjes uit van 2 euro van de action en maak een interactief iets wat laat zien hoe slecht zichtbaar je bent zonder licht, dan sta je niet voor lul als je het over veiligheid hebt.

Arnoud Engelfriet @Lodo • 11 februari 2021 10:09

Je wilt generale preventie, zoals juristen dat noemen. Als jij staande gehouden wordt en gratis twee lichtjes krijgt, waarom zou ik dan lichtjes kopen? Er gebeurt niets en een ander lost het probleem voor me op.

Terwijl als jij 50 euro boete krijgt én aangezegd krijgt, morgen twee lichtjes hebben anders wordt het 100 euro, dan ga ik óók lichtjes kopen vandaag.

OxWax @Arnoud Engelfriet • 11 februari 2021 10:21

Terwijl als jij 50 euro boete krijgt én aangezegd krijgt, morgen twee lichtjes hebben anders wordt het 100 euro, dan ga ik óók lichtjes kopen vandaag.

Werkt dat zo in NL?

dutchgio @OxWax • 11 februari 2021 10:49

Nee, in het voorbeeld van fietsen zonder licht niet. dan is het die dag erna gewoon weer 50 euro.
Bij een overtreding van de AVG zoals het ziekenhuis is het wel mogelijk om bij herhaling zwaardere straffen op te leggen.

F-I-X @OxWax • 11 februari 2021 13:26

Bij auto's kan het wel en wordt dat ook gedaan geloof ik . Bijvoorbeeld ook daar bij verlichting of iets dergelijks.. Kan je het op het politiebureau gaan tonen of anders gaat het PV door naar het CJB

OxWax @F-I-X • 11 februari 2021 15:40

Hier in BE ook mogelijk bij een lampje , maar niet als je verlichting helemaal niet werkt.
Dan ben je nl gevaar op de weg, net als een fietser zonder verlichting

[Reactie gewijzigd door OxWax op 22 juli 2024 21:54]

Lodo @Arnoud Engelfriet • 11 februari 2021 10:21

Dat is helemaal geen zekerheid. Waarom zou iemand lichtjes gaan kopen als die net als zijn centen kwijt is aan een boete? Als tiener ga je dan beknibbelen, beetje zwart rijden, dat soort dingen. Daarnaast zou jij lichtjes kopen voor jouw eigen veiligheid, ik ken geen enkele volwassene die niet het gevaar in ziet van fietsen zonder licht, zeker niet als hij of zij in het bezit is van een rijbewijs.

Het is wel een zekerheid dat als je mensen informeert over het gevaar dat dit een verbetering zal brengen, zeker als je daarbij ook gratis lichtjes verstrekt, dit is volgens mij niet veel anders dan bv. seksuele voorlichting op de middelbare school.

OxWax @Lodo • 11 februari 2021 10:59

Waarom niet beide?
Een door de overtreder betaalde cursus met aan het einde 2 lichtjes = win/win.

Audione0 @Jim80 • 11 februari 2021 10:56

Ach, volgend jaar gaat de ziekte kosten premie weer omhoog en is die boete van €440K ook weer weggepoetst.

dnrb @Jim80 • 11 februari 2021 09:37

Dit stukje uit het artikel sugerert dat de boete voorwaardelijk is:

De toezichthouder kiest regelmatig voor dat laatste, als een soort voorwaardelijke boete die wordt geïnd als de maatregelen niet worden doorgevoerd.

kan je dat geld toch uitgeven voor een expert...

Auteur

TijsZonderH Nieuwscoördinator @dnrb • 11 februari 2021 09:45

Het is niet voorwaardelijk, staat er ook:

Ondanks dat legde de AP direct een geldboete op en geen last onder dwangsom.

NielsFL @dnrb • 11 februari 2021 09:45

Waarschijnlijk dezelfde “expert” die in eerste instantie half werk heeft geleverd.

phoenix2149 @Jim80 • 11 februari 2021 11:26

De boete moet voorwaardelijk zijn met het bericht los het op binnen x tijd anders wordt het definitief.

Probleem met een (zorg) instantie beboeten is dat uiteindelijk de consument (patient) de dupe.

Turanmegil 11 februari 2021 09:30

Deze snap ik niet helemaal:

en andere overtreding was het gebrek aan tweestapsverificatie. Vanaf het interne netwerk vanuit het ziekenhuis hoefde werknemers geen 2fa te gebruiken om een patiëntendossier te bekijken. Met externe toegang was dat wel verplicht, maar ook dat was volgens de AP een overtreding van de wet.

Dus het niet gebruik van 2fa vanuit het interne netwerk is een overtreding. Maar het wel gebruiken van 2fa vanuit externe toegang ook? Je wilt toch juist 2fa autorisatie bij externe toegang?

Ootje70 @Turanmegil • 11 februari 2021 09:52

Ik denk dat ze hierbij bedoelen in dit stuk dat de overtreding het niet hanteren van 2FA op het interne netwerk betrof, extern 2FA toepassen is sowieso verplicht. Mensen nemen heel vaak onterecht aan dat toegang in een openbare ruimte als een ziekenhuis wel gewaarborgd is omdat geautoriseerden toch op het netwerk moeten inloggen. Veel (fysieke) systemen zijn echter gemakkelijk toegankelijk en lastig ontoegankelijk te maken. Dan moet je echt werken met een systeem waarin mensen snel maar goed beveiligd kunnen inloggen. Ofwel een pas met pincode waarmee je snel kunt inloggen (fast-user switching) en een extra (pin)code om het ZIS te opnemen.

2FA betekent in deze situatie niet persé dat mensen een software token moeten hebben maar de personeelspas met een pincode om toegang te krijgen tot de computer of terminal en dan nog een pincode om in het ZIS zelf te komen zorgt er voor dat er geen wachtwoorden op post-its hangen en het werkt snel wat op veel open afdelingen zoals een SEH van levensbelang kan zijn. Die maatregelen zijn echter kostbaar en niet iedereen wil er aan meewerken, dat is vaak lastig voor ziekenhuizen.

[Reactie gewijzigd door Ootje70 op 22 juli 2024 21:54]

OxWax @Ootje70 • 11 februari 2021 10:18

Die maatregelen zijn echter kostbaar en niet iedereen wil er aan meewerken, dat is vaak lastig voor ziekenhuizen.

Hoeveel zou dat kosten?
Uit hun jaarverslag :
https://www.olvg.nl/sites...verantwoording_2019_0.pdf

FINANCIEEL (X € 1 MLN) 2019 / 2018
Totaal bedrijfsopbrengsten 631,4 / 571,1
Totaal bedrijfslasten 621,4 / 564,2

Bedrijfsresultaat 10,0 / 6,9
Resultaat boekjaar 4,5 / 1,1

[Reactie gewijzigd door OxWax op 22 juli 2024 21:54]

Ootje70 @OxWax • 11 februari 2021 10:27

Als je de besluitvorming van een systeem van ruim een ton kunt vormen op basis van een jaarverslag dan moet je denk ik voor het LOVG gaan werken. Ziekenhuizen houden netto niets over van dat resultaat, dat moeten ze handhaven voor bepaalde zekerheden zoals goed contracten met zorgverleners en bankgaranties te kunnen behouden of aan allerlei andere richtlijnen en andere regelgeving te voldoen. Of ze hebben het geld nodig om een investering te doen om een noodaggregaat of een nieuwe MRI te kopen en ze 'sparen'. Dus dat resultaat zegt niets over de keuzes die gemaakt zijn of worden. Investeer je in de primaire zorg of systemen die vaak secundair worden gezien. Niet dat ik van mening ben dat het terecht is maar ik ken de keuzes waar men voor staat uit de eerste hand en dat zie je niet in dit resultaat terug.

OxWax @Ootje70 • 11 februari 2021 10:37

U zegt het zelf

en of aan allerlei andere richtlijnen en andere regelgeving te voldoen.

"een ton" = 100.000 als ik me niet vergis? (ik ben BE)
Ze waren gewaarschuwd en nu zijn het er dus +4 'ton' .

Ootje70 @OxWax • 11 februari 2021 10:43

Ja dat is waar en dus niet slim :-) ze hadden wellicht gedacht dat ze een voorwaardelijke boete zouden krijgen maar helaas. En ja, Nederlandse ton dus 100k

Soggney @Turanmegil • 11 februari 2021 09:34

Ik denk slecht verwoord, dat enkel extern 2fa voldoende zou zijn blijkt dus niet AVG proof te zijn. Hoewel bij een ziekenhuis de terminals semi-publiek zijn, lijkt me dat wat overdreven voor andere sectoren.

[Reactie gewijzigd door Soggney op 22 juli 2024 21:54]

Super_Fred @Turanmegil • 11 februari 2021 09:36

Ja, en heel vaak zet je MFA niet eens aan als je intern op het netwerk zit (niet draadloos, maar bekabeld). Je mag dan aannemen dat iemand in het gebouw vertrouwd kan worden, mits de autorisaties en rechten uiteraard goed geregeld zijn. Ik mag aannemen dat niet iedereen bij (alle) patiëntendossiers kan.

Ootje70 @Super_Fred • 11 februari 2021 10:31

Die aanname is dus niet juist en zoals je zegt is ook afhankelijk van de authenticatie en autorisaties. In een ziekenhuis (openbaar gebouw met balies en andere open ruimtes) moet je er echter vanuit gaan dat enkelvoudige authenticatie niet afdoende is. Iedereen kent het voorbeeld van de post-it met gebruikersnamen en/of wachtwoorden. Daarnaast wordt dan soms de toegang tot de desktop niet afgeschermd maar alleen de toegang tot het ZIS is dan dichtgezet of juist andersom. Naast bepaalde financiële gegevens en strafrechtelijke informatie zijn medische gegevens bijzondere persoonsgegevens die extra goed beschermd moeten worden waardoor je dit soort aannames als organisatie niet moet doen.

Auteur

TijsZonderH Nieuwscoördinator @Turanmegil • 11 februari 2021 09:46

Die verwoord ik inderdaad iets duidelijker.

singingbird @TijsZonderH • 11 februari 2021 09:58

Wat wordt hier praktisch dan mee bedoeld? Eenmaal ingelogd in windows dat je dan direct toegang hebt tot het patiënteninformatiesysteem zonder daar apart voor in te loggen? Of willen ze nog een extra verificatie, zoals een pasjeslezer?

Cloud @singingbird • 11 februari 2021 10:09

Dat laatste. Dus verplichte 2FA voor het inloggen zowel vanaf buiten het ziekenhuis, als intern binnen het ziekenhuis. En doorgaans zal dat inderdaad middels een paslezer zijn.

Baps @Turanmegil • 11 februari 2021 10:31

De zin loopt niet lekker en is daarmee geen goede weergave van het besluit van de AP. De AP overweegt over 2FA buiten het ziekenhuis:

De tweede manier om toegang te krijgen tot het ziekenhuisinformatiesysteem is via een computer buiten
het OLVG-netwerk. Tijdens de demonstratie tijdens het onderzoek ter plaatse heeft de AP geconstateerd
dat ook kan worden ingelogd op de VDI via een computer buiten het OLVG-netwerk, bijvoorbeeld wanneer medewerkers thuiswerken. In dit geval dient te worden ingelogd in de VDI omgeving en het
ziekenhuisinformatiesysteem met een gebruikersnaam en wachtwoord in combinatie met een
wisselende token die wordt ontvangen c.q. aangemaakt per sms of applicatie.

En that's it. Er wordt geen conclusie verbonden aan deze handelswijze. In haar beoordeling van de overtreding oordeelt de AP ook enkel over de computers binnen het ziekenhuis die géén 2FA hadden. Een en ander is terug te lezen op pagina's 5 tot en met 9 van het boetebesluit: https://www.autoriteitper...les/boetebesluit_olvg.pdf

Het gebruik van 2FA buiten het ziekenhuis is dus ook geen overtreding van de wet. Wat ik denk dat bedoeld is met de zin: ondanks het gebruik van 2FA buiten het ziekenhuis, was het gebrek aan 2FA binnen het ziekenhuis een overtreding.

_Richie_ @Baps • 11 februari 2021 13:51

Ik vind het opvallend dat de AP het inloggen zonder 2FA binnen het ziekenhuisnetwerk als overtreding heeft bestempeld.
Zijn hier ook data-lekken uit naar voren gekomen dan (behoudens verkeerde toegangsrechten of mensen die met toegang in verkeerde dossiers hebben gekeken?)
Als zorgverlener kan ik me voorstellen dat dit toch veel rompslomp gaat betekenen in de toekomst als elk ziekenhuis dit gaat/moet invoeren.
Helaas staat de wetgever hier dus ver van de praktijk af en wordt zo de administratieve 'last' weer een stuk hoger gemaakt.

Baps @_Richie_ • 11 februari 2021 15:42

Tsja, het is al langer een discussie dat de AVG veel administratieve rompslomp met zich meebrengt. Het is kiezen tussen twee kwaden: of je beschermt (althans probeert) de persoonsgegevens van mensen goed te beschermen en brengt administratieve rompslomp mee, of je laat het varen met het risico dat gevoelige gegevens makkelijk op straat komen te liggen (zie GGD). Er is een aantal jaren geleden op Europees niveau voor dat eerste gekozen, en dat is waarom we hier nu mee moeten omgaan. Daar komt bij dat medische informatie als extra gevoelig is bestempeld, dus daar krijg je extra waarborgen (waaronder dus 2FA binnen het ziekenhuis.

Jeroenneman 11 februari 2021 09:04

"Daarnaast vinden we de boete voor een maatschappelijke instelling zoals ons ziekenhuis wel erg hoog."

Tja, na tig jaar VVD beleid zijn ziekenhuizen geen maatschappelijke instellingen meer, maar gewoon bedrijven die hun eigen broek op moeten houden.

Inspired @Jeroenneman • 11 februari 2021 09:35

VVD? In mijn herinnering was het afschaffen van het ziekenfonds, en dus het introduceren van marktwerking, toch echt een stokpaardje van het CDA. Onder leiding van balkenende is dit in 2006 dan ook daadwerkelijk afgeschaft. Je kunt je overigens ook afvragen of dit slecht is. Ik zeg overigens niet dat de VVD dit ook niet ondersteunde maar het is wat makkelijk om meteen weer alle pijlen op de VVD te richten.

Daarnaast is een ziekenhuis inderdaad ook gewoon een bedrijf. Die moet ook gewoon de veiligheid op orde hebben. OLVG heeft een omzet van EUR 500m oid met een paar m winst per jaar. In het verleden namen ze het ook niet zo nauw met het "maatschappelijke" verhaal toen de directie veel te veel geld binnen aan het harken was.

https://www.parool.nl/nie...rdienen-te-veel~b33840b8/

illsabio @Inspired • 11 februari 2021 10:12

Denk dat het belangrijk is een onderscheid te maken in een algemeen ziekenhuis zoals het OLVG en een Universitair Medisch Centrum (UMC) zoals het Amsterdam UMC. Dat zijn namelijk 2 totaal verschillende type ziekenhuizen en de financiering vind ook op totaal verschillende wijze plaats.

andreetje @Inspired • 11 februari 2021 10:13

Hans Hoogervorst van de VVD is de architect van de privatisering van de zorg.

Dus inderdaad, weer de VVD.

https://nl.wikipedia.org/wiki/Zorgverzekering_(Nederland)

RogerDad @Jeroenneman • 11 februari 2021 09:32

De boete is nog veel meer een signaalfunctie dan een straf. Dat is ook de reden dat die hoog moet zijn (anders komt het signaal onvoldoende over). Met de nieuwe AVG vroeg de AP om "tanden" en die heeft het gekregen in de vorm van het mogen uitdelen van grote boetes en het is goed dat de AP die tanden nu af en toe gebruikt. Zo'n boete wordt zelden in een keer uitgedeeld. Eerst is er een incident wat gemeld wordt, dan vraagt de AP naar verbeteracties. Maar als je daarna die verbeteracties niet hebt uitgevoerd dan kan dat je (letterlijk) duur te staan komen.

illsabio @RogerDad • 11 februari 2021 10:48

Klopt naar mijn inziens helemaal wat je zegt. Als je kijkt hoe AP's in andere landen de boetes uitdelen aan de organisaties, zijn we hier behoorlijk soft.

Kijk hier maar naar de boetes die er gegeven zijn sinds invoering van GDPR https://www.enforcementtracker.com/

Verwijderd 11 februari 2021 09:12

Tja. Overtredingen begaan in 2018, 2019. Gewaarschuwd geweest in 2019 als ik het goed begrijp. Maatregels genomen maar enkel voor tijdelijke werkkrachten. Dus fundamenteel niets aan het probleem gedaan. In 2020 nog steeds in de fout.

Dan nu niet gaan huilen. Na 2, 3 a 4 jaar is het wel goed geweest. Kei harde boetes nu. En de volgende keer gevangenisstraffen.

PainkillA @Verwijderd • 11 februari 2021 09:16

ik denk dat het maatschappelijk gezien niet goed is dat ziekenhuizen boetes krijgen omdat ze erg belangrijk zijn. Wat wel effectief zou zijn is de verantwoordelijke persoonlijk straffen met een boete of gevangenis straf.

Nu komt de verantwoordelijke er heel makkelijk vanaf (die merkt er niets van) maar als maatschappij zitten we dus wel met een ziekenhuis die veel geld kwijt is.

Ootje70 @PainkillA • 11 februari 2021 10:02

Met de veelal snelle wisselingen in management in ziekenhuizen en sowieso de vaak complexe organisatiestructuur is er niet altijd 1 verantwoordelijk aan te wijzen. Tuurlijk kun je naar de Raad van Bestuur wijzen en zeggen, jullie zijn eindverantwoordelijk maar dat is juridisch niet (altijd) hard te maken. Dit betreft echter meestal een aantal mensen en dan kun je niet vaststellen wie uiteindelijk de beslissing nam. Daarvoor heb je een Raad en niet één directeur, er is sprake van gedeelde verantwoordelijkheid.

In dit geval kun je dus alleen boetes uitdelen als AP en dat doen ze dus ook. Dat sluit niet uit dat je als organisatie maatregelen kunt nemen naar de leden van de RvB, dat kan de Raad van Toezicht doen. Dat kan mensen alsnog hun baan kosten. De vraag is sowieso of het zinnig is om gelijk te roepen dat er mensen het gevang in moeten. Veel ziekenhuizen hebben het geld niet om dit soort maatregelen door te voeren op een wijze dat het bedrijfsproces niet te veel gehinderd wordt. Wat lost die straf op? Dit is meestal geen moedwillige actie of een strafbaar feit waarvoor je een individu aansprakelijk kunt stellen.

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming
Boete
Nederland

@PainkillA • 11 februari 2021 11:39

Het lijkt me onredelijk dat bepaalde organisaties maar geen boetes horen te krijgen terwijl ze aan de andere kant ook werken om winst te maken en aandeelhouders te belonen. Dat is in meerdere opzichten meten met twee maten.

Daarbij gaat op dat als een organisatie zo belangrijk is het ook verantwoordelijkheid hoort te nemen en er niet mee proberen weg te komen en zeker niet door de wetgeving te negeren. Ik lees in de conclusies niet dat ze die verantwoordelijkheid zelfs maar voldoende hebben genomen, zelfs nadat er weer was gebleken dat het al niet goed was.

Als de boete vooral af gaat van de maatschappelijke functie en niet van de winstverdeling die niet naar de maatschappij gaat dan ligt dat niet aan de boete maar aan het ziekenhuis en hoe ze hun verantwoordelijkheid voor zorg en winst willen nemen.

Marcspot

@Verwijderd • 11 februari 2021 09:36

Ik kan je verzekeren dat er wel fundamenteel wat aan het probleem is gedaan en niet alleen voor tijdelijke werkkrachten, maar voor alle medewerkers van het ziekenhuis die toegang hebben tot het EPD. Er wordt nu actief gemonitord op logs om na te gaan of toegang tot een dossier van een patiënt rechtmatig is.
Verder wordt er continu gekeken of de processen nog beter aangescherpt kunnen worden.
Neemt niet weg dat het ziekenhuis steken heeft laten vallen in het verleden en dit heeft zeker verandering teweeg gebracht.

Verwijderd @Marcspot • 11 februari 2021 09:39

Moest U er ITer zijn, want zo klinkt het, dan kan het handig zijn om naar aanleiding van dit artikel een tegenreactie te schrijven die meer in detail gaat wat er zoal verbeterd is. Eventueel in samenspraak met het management van de organisatie.

Marcspot

@Verwijderd • 11 februari 2021 09:45

Ik weet niet of dit voldoende is, maar er staat al een reactie op de website van OLVG https://www.olvg.nl/nieuw...sgegevens-na-melding-2018

Morrigun99 11 februari 2021 09:31

Helaas weinig geleerd van de Haga boete.

rik86 @Morrigun99 • 11 februari 2021 10:35

Tja, van een boete die is gegeven nadat het bij jezelf al fout is gegaan én dat geconstateerd is door de AP, valt ook lastig te leren

Boete is 16 juli 2019 uitgedeeld, de feiten bij 't OLVG hebben zich in 2018 afgespeeld en onderzoek heeft ook (deels) voor 16 juli 2019 plaats gevonden

Morrigun99 @rik86 • 11 februari 2021 13:51

Ja ok. Ze hadden inderdaad nog niets uit het boetebesluit kunnen lezen...echter...al in april 2018 werd het "Barbie-voorbeeld" in het Haga ziekenhuis breed uitgemeten in landelijke media. Mét ook informatie over de oorzaak van het probleem: ongeoorloofde toegang/gebrekkige access control, etc.

Ik zou - als FG van OLVG - na zulke berichten - hebben gedacht "een gewaarschuwd ziekenhuis telt voor twee...". In plaats van een jaar later 'lastige' vragen te moeten beantwoorden aan de AP...

Juist op het vlak van privacy (waarbij reputatieschade groot kan zijn) is het volgen van de markt/branche/concurrenten wel van meerwaarde.

[Reactie gewijzigd door Morrigun99 op 22 juli 2024 21:54]

illsabio @Morrigun99 • 11 februari 2021 14:27

Ligt eraan wat de positie van de FG is geweest in het OLVG. Denk dat dit echt pure bestuursfalen is geweest, ik bedoel elk ziekenhuis weet op het hoogste niveau wat de impact is geweest van de AVG cq GDPR. De AVG wordt breed besproken, nou kan het zijn dat of de FG niet gehoord is in deze of de FG zat niet in de juiste rol binnen het ziekenhuis of heeft zijn werk niet goed gedaan. Hoe dan ook vaak sneuvelt de FG en begint het spelletje weer opnieuw. Eigenlijk is hier een mooie rol weggelegd voor RvC om te kijken naar het functioneren van het bestuur. In de praktijk gebeurt dit helaas zelden.

Ik heb niet echt het gevoel dat ziekenhuizen heel erg geraakt worden door reputatieschade in deze vorm anders is het dat de zorg teveel fouten maakt op medisch gebied en patienten dan dit ziekenhuis gaat mijden. Vergeet niet dat ziekenhuis vrij schaars zijn en je niet zomaar naar een ander ziekenhuis kan gaan voor een operatie zonder dat je extra wachttijd hebt en het hele land over moet etc. Wat je niet kunt hebben is dat de AP boete op boete oplegt omdat je als ziekenhuis je zaken niet op orde hebt, dat overleven ze niet.

IJsbeer 11 februari 2021 09:14

GGD lees je mee?

OFV @IJsbeer • 11 februari 2021 09:29

Ben inderdaad benieuwd naar de boete die de GGD gaat krijgen. Owja. Geen.

Verwijderd 11 februari 2021 10:21

Ben blij met de AVG en ook met de handhaving hiervan. het is belangrijk dat bedrijven zich verantwoordelijk voelen over de gegevens en data van andere (patienten).

Een andere overtreding was het gebrek aan tweestapsverificatie. Vanaf het interne netwerk vanuit het ziekenhuis hoefden werknemers geen 2fa te gebruiken om een patiëntendossier te bekijken. Met externe toegang was dat wel verplicht, maar desondanks was dat volgens de AP een overtreding van de wet.

Dit vindt ik echter een gek detail waar de avg niet over zou moeten beslissen. Je zou als bedrijf zelf moeten kunnen bepalen welke interne beveiliging er nodig is. Ik vind het goed dat ze 2FA gebruiken voor alles buiten het netwerk. Inter wordt gebruikt door hun eigen personeel. Zolang er sterke policies, op een need to know, basis.

supersnathan94 11 februari 2021 09:14

Het ziekenhuis had de toegang in ieder geval 'tussen 2018 en 2020' niet op orde. In 2018 begon de handhaving van de AVG. De boete van 440.000 euro is dan ook voor een overtreding van die Europese privacywet.

Dus, met de deze gedachtegang in het achterhoofd, wanneer krijgt de belastingdienst een boete? Die geven openlijk aan pas in 2023 te kunnen voldoen.

Auteur

TijsZonderH Nieuwscoördinator @supersnathan94 • 11 februari 2021 09:22

Kleine nuance: dat gaat over andere feite, het probleem is daar met name het vernietigen van oude informatie en niet de verkeerde toegangscontrole.

supersnathan94 @TijsZonderH • 11 februari 2021 10:10

nou met de toeslagen affaire was het niet per se alleen het hebben van data die nog verwijderd moest worden, maar ook het gebruiken en inzetten daarvan:
https://autoriteitpersoon...-de-wet-en-discriminerend

Daarnaast hebben we het stuk voor verwerkingsovereenkomsten:

Een van de problemen van de Belastingdienst is dat er niet overal een goede verwerkingsovereenkomst is opgesteld. Onder de AVG is het nodig vast te leggen hoe bepaalde gegevens worden verzameld en waarom dat gebeurt. In de brief schrijft Snel dat nog niet overal zo'n overeenkomst is opgesteld en dat veel van de wel opgestelde overeenkomsten alleen nog concepten zijn of dat die nog niet zijn opgenomen in het AVG-register van de Belastingdienst. Ook zijn veel verwerkingsovereenkomsten onvolledig of te vaag.

nieuws: Kabinet: Belastingdienst voldoet bijna aan AVG

Een groot issue met het gebruik van BSN in btw nummer van ZZP-ers:

De Autoriteit Persoonsgegevens meldt dat het zogeheten verwerkingsverbod op 1 januari 2020 ingaat. Voorzitter Aleid Wolfsen erkent dat dit probleem al langer bestaat. "De Belastingdienst moet dit nu met voorrang aanpakken. Met ons verwerkingsverbod willen we bereiken dat er zo spoedig mogelijk, maar in ieder geval voor 1 januari 2020, een oplossing komt", aldus Wolfsen.

nieuws: AP: Belastingdienst mag in btw-nummer geen burgerservicenummer gebruiken

en nog veel meer dingen die gewoon echt niet konden en waarvan de dienst voor 2018 al lang en breed van op de hoogte was. Mensen hebben bepaalde dingen zowat in de vorige eeuw al aangegeven. Hoe iemand daar het verzonnen heeft om het BSN in een btw nummer te stoppen is al tientallen jaren een vraag. De AP heeft hier in 2017 dan ook al een onderzoeksrapport over gestuurd naar de belastingdienst:
https://autoriteitpersoon...-identificatienummers.pdf

Sure het gaat om andere feiten, maar wat de belastingdienst flikt vind ik persoonlijk ernstiger en verwijtbaarder dan wat hier gebeurt.

rik86 @supersnathan94 • 11 februari 2021 10:31

Nou ja, het BSN snap ik wel

Het BSN is ooit gestart als fiscaal nr, het unieke nr. dat de belastingdienst aan iedere nederlander uitgaf, waarmee je geïdentificeerd werd en de basis was voor de andere fiscale nr's die je als individu moest krijgen.

Daarna bedacht de overheid dat 't wel handig was als ze dit voor iedereen gingen gebruiken en geheim moest gaan houden, vergetende dat dit de kern van de fiscale administratie was...

supersnathan94 @rik86 • 11 februari 2021 10:40

Nee het sofi nummer (dus de voorganger) was als fiscaal nummer (vandaar de fi in sofi) bedoeld. Die werd uitgegeven door de belastingdienst en ook toen al waren er heel veel privacy bezwaren voor dit nummer (dit was in 1989).

Met de Aanpassingswet Brp op 6 januari 2014 is dit veevallen en sindsdien wordt het nummer uitgegeven door gemeente. Toen al had men moeten beseffen dat het hele gebeuren met btw nummers niet slim was en anders had gemoeten.

Als het namelijk identificerend is, moet je het niet zelf gaan rondstrooien. Doen ze nog steeds aangezien de belastingdienst zo slim is om het BSN op iedere brief die ze versturen te zetten. Kun je dus ook niet zomaar bij het oud papier zetten. Ik bewaar ze een aantal jaar en daarna gaan ze via m’n vader door de shredder op t werk (iso certified).

Alle gegevens die nodig zijn voor fraude staan letterlijk op iedere brief van de belastingdienst. #HoeDan?

Cobalt @supersnathan94 • 11 februari 2021 11:04

Met een BSN hoor je niks te kunnen. Het volgens de AP ook geen bijzonder gegeven.

Met naam, adres, bsn hoor je geen fraude te kunnen plegen. Kan er bij een systeem fraude gepleegd worden dan faalt daar de validatie of iemand wel echt is wie het is.

supersnathan94 @Cobalt • 11 februari 2021 11:28

Het probleem is dan ook niet zozeer dat je er iets mee kan, maar dat je er gegevens mee kunt koppelen zodat je er wel wat mee kunt. Identiteitsfraude hoort daar ook bij.

Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude.

Burgers kunnen met hun BSN bij elk loket van de overheid terecht. Het voordeel van een BSN is dat burgers hun persoonsgegevens niet bij elke overheidsorganisatie steeds opnieuw hoeven aan te leveren.

Dit maakt het tegelijk kwetsbaar: als het BSN in kwaadwillende handen valt, kan het mogelijk leiden tot identiteitsfraude. Een kwaadwillende kan met de persoonsgegevens van een ander bijvoorbeeld een auto huren en daarmee schade veroorzaken.

Dit zijn voorbeelden van het AP waarom dit dan ook niet slim is. Dan kun je wel de schuld leggen bij het stuk valideren, maar dat is gewoon te simpel. Dat is dan ook de reden waarom de belastingdienst het BSN niet als basis mag gebruiken voor het BTW nummer.

https://autoriteitpersoon...-met-de-wet#subtopic-1731

Charly 11 februari 2021 09:52

Ik ken de situatie in het OLVG niet, maar mijn ervaring is dat de meeste ziekenhuizen zich bijzonder bewust zijn van de AVG en de verantwoordelijkheden die ze hebben bij het omgaan met data. De realiteit is echter dat zorg verlenen en niet IT de core business is.

Dus op het moment dat de IT afdeling "bedenkt" dat ze 2fa op het interne netwerk gaan implementeren en de artsen / specialisten beginnen vervolgens te stuiteren dat ze zo hun werk niet kunnen doen verliest de IT de discussie, ook al hebben ze misschien wettelijk gelijk... En dan heb ik het nog helemaal niet over de budgetten / salarissen waar mee gewerkt moet worden en de beperkingen die dat met zich mee brengt. (Capabele ITers inhuren als je ze qua salaris in de ziekenhuis CAO moet passen is zegmaar best een uitdaging.)

Nu roept iedereen hier om boetes omdat de AVG niet nageleefd wordt, maar zodra er krantenkoppen verschijnen dat artsen het werk onmogelijk gemaakt wordt door beveiligingsmaatregelen roepen mensen dat de AVG zsm worden afgeschaft; omdat corona, handen aan het bed etc...

Zorg IT is een bijzonder leuk maar soms ook heel erg lastig en frustrerend vakgebied. Het gaat niet altijd goed (net als in de rest van de wereld), maar de mensen die ik er tegen kom doen over het algemeen naar eer en geweten hun stinkende best.

[Reactie gewijzigd door Charly op 22 juli 2024 21:54]

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming
Boete
Nederland

@Charly • 11 februari 2021 11:15

maar zodra er krantenkoppen verschijnen ..... roepen mensen

Dat lijkt me, net zoals het roepen bij andere situaties, niet zo relevant. Het relevante is dat we gezamenlijk wetgeving hebben gemaakt over zorg en persoonsgegevens.

Als de artsen / specialisten zich niet aan de wet wensen te houden wil nog niet zeggen dat dat verstandig is, of afschaffen van wat ongewenst is de juiste oplossing is zonder een redelijk alternatief. Dat lijkt dan ook een reden om een bestuurlijke boete te geven.

Daarbij, als een cao of andere regelingen die de zorg zelf treft het uitvoeren van de wet in de weg lijken te zitten dan zou dat dus eerder een teken zijn dat men in de zorg wel anders kan willen (zoals laag loon betalen aan bepaalde medewerkers maar ondertussen wel hoge kwaliteit verwachten) maar dan is er kennelijk iets nodig om er beter over na te denken. En daar lijkt een bestuurlijke boete onder andere voor te zijn als het weer mis gaat.

PcDealer @Charly • 11 februari 2021 10:15

De realiteit is echter dat zorg verlenen en niet IT de core business is.

Dus op het moment dat de IT afdeling "bedenkt" dat ze 2fa op het interne netwerk gaan implementeren en de artsen / specialisten beginnen vervolgens te stuiteren dat ze zo hun werk niet kunnen doen verliest de IT de discussie, ook al hebben ze misschien wettelijk gelijk...

Dan zal de Raad van Toezicht naar huis moeten worden gestuurd evenals de directie Raad van Bestuur. Elk ziekenhuis die dit niet op de agenda heeft faalt.

[Reactie gewijzigd door PcDealer op 22 juli 2024 21:54]

Charly @PcDealer • 11 februari 2021 10:25

Dat is wat ik zeg toch? Ik denk dat het overal wel op de agenda staat, maar tussen ambitie en (correcte) implementatie zitten nog wel een paar uitdagingen. Da's verder niet uniek aan de zorg ofzo.

MrMarcie @Charly • 11 februari 2021 10:44

Ik ben hier uitgesloten van modereren, eigen mening wordt niet gewaardeed. Maar je krijgt van mij een +1

CAPSLOCK2000

Privacy
Nederland
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@Charly • 11 februari 2021 12:12

De realiteit is echter dat zorg verlenen en niet IT de core business is.

Die denkwijze is een probleem. We zien IT als een aparte bussiness en niet als universele basis.
"pen & papier" zijn ook geen core bussinness en "lampen aan en uit doen" ook niet net als "rommel in de prullenbak doen".
We behandelen IT vaak als een extern proces dat je door een ander kan laten doen, in plaats van iets dat we allemaal doen. Het is alsof je een schoonmaker inhuurt en denkt dat je al je rommel dan op de vloer kan laten vallen. Maar als je een rotte banaan op het tapijt laat vallen dan kan die schoonmaker het ook niet meer redden.

Op dit item kan niet meer gereageerd worden.

OLVG-ziekenhuis Amsterdam krijgt AVG-boete van 440.000 euro voor slechte logging

Lees meer

Nederlandse AVG-boetes zijn hoog

Megaboete voor tennisbond

IT-banen

Reacties (127)

Sorteer op:

Weergave: